- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
Linux日志取证
10.10.107.222:22 192.168.1.88:53505 ESTABLISHED 5923/sshd: [email protected] (3)历史ssh 隐匿登录行为通过分析 /var/log/secure 日志(有的系统是/var/log/auth.log) #通过分析/var/log/secure 日志有的系统是/var/log/auth.log 从 Accepted 192.168.12.54 一行可以得出ssh的登录时间 #Disconnect 从 Disconnected from 192.168.12.54 port 43000 一行可以得出ssh的退出时间 如果系统配置了 /bash.bashrc、~/.bashrc记录执行记录,就可以记录到bash -i的执行记录(交互式会话会读取bashrc配置并执行) (4) 主要用到strace、strings、grep利用操作系统自身的工具手工快速查找后门 #通过openssh后门功能中会记录正常用户登录账号密码,因此猜测会用到open系统调用 strace –o ssh –ff–p pid #用strace跟踪sshd打开的系统调用,然后过滤open
2.4K20发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
Linux日志取证
48 10.10.107.222:22 192.168.1.88:53505 ESTABLISHED 5923/sshd: root@pts (3)历史ssh 隐匿登录行为通过分析 /var/log/secure 日志(有的系统是/var/log/auth.log) #通过分析/var/log/secure 日志有的系统是/var/log/auth.log 从 Accepted 192.168.12.54 一行可以得出ssh的登录时间 #Disconnect 从 Disconnected from 192.168.12.54 port 43000 一行可以得出ssh的退出时间 如果系统配置了 /bash.bashrc、~/.bashrc记录执行记录,就可以记录到bash -i的执行记录(交互式会话会读取bashrc配置并执行) (4) 主要用到strace、strings、grep利用操作系统自身的工具手工快速查找后门 #通过openssh后门功能中会记录正常用户登录账号密码,因此猜测会用到open系统调用 strace –o ssh –ff–p pid #用strace跟踪sshd打开的系统调用,然后过滤open
2.2K20编辑于 2022-09-28 - 来自专栏betasec
Volatility取证分析工具
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 (1)Volatility3环境的安装 首先请确保系统中已安装python3环境,安装pycrypto库函数 进入到Volatility目录,执行如下指令,即可将Volatility成功安装 >>> install 此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功 >>> sudo python3 vol.py -h (2)Volatility2环境的安装 首先请确保系统中已安装 /Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./ (6) 调用mimikatz抓取系统口令 /Target.vmem --profile=Win7SP1x64 mimikatz Volatility3的使用方法 (1) 获取系统基本信息 >>>sudo python3 vol.py -f
2K40编辑于 2022-12-11 - 来自专栏FreeBuf
USB流量取证分析
在Linux中,可以使用lsusb命令,如图所示: ? 我们这里主要演示USB的鼠标流量和键盘流量。Linux下的分析已经比较多了,下面的环境均在Windows下进行。 一、鼠标流量 1.1 特点分析 USB鼠标流量的规则如下所示: ? 二、键盘流量 2.1 特点分析 键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次击键都会产生一个数据包。 , 0x1F: "2@", 0x20: "3#", 0x21: "4$", 0x22: "5%", 0x23: "6^", 0x24: "7&", 0x25: "8*", 0x26: "9(", filepath): lines = [] pos = 0 for x in open(filepath, "r").readlines(): code = int(x[6:
3.8K20发布于 2020-04-20 - 来自专栏网络安全
Linux取证实战指南
展开代码语言:TXTAI代码解释#查看成功登录历史sudolast-f/var/log/wtmp#查看失败登录尝试(lastb是last-f/var/log/btmp的快捷方式)sudolastb#####6. Bash展开代码语言:TXTAI代码解释psaux#####6.DNS信息(DNSInformation)Hosts文件:/etc/hosts文件包含本地DNS名称到IP地址的映射。 系统级的计划任务列表位于/etc/crontab文件中。#####2.服务启动(StartupServices)与Windows服务类似,Linux服务可以在系统启动时自动运行。 文件系统取证(FileSystemForensics)#####1.文件所有权与权限(FileOwnershipandPermissions)攻击者常利用具有写权限的目录来上传恶意文件。 注意:在实时取证分析中,atime极易被调查行为(如cat、md5sum)所改变,因此它不是一个可靠的指标。这也是为什么取证前制作镜像是首选方案。
33320编辑于 2025-12-15 - 来自专栏betasec
取证分析 | Volatility工具使用
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 (1)Volatility3环境的安装 首先请确保系统中已安装python3环境,安装pycrypto库函数 进入到Volatility目录,执行如下指令,即可将Volatility成功安装 >>> install 此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功 >>> sudo python3 vol.py -h (2)Volatility2环境的安装 首先请确保系统中已安装 /Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./ (6) 调用mimikatz抓取系统口令 /Target.vmem --profile=Win7SP1x64 mimikatz Volatility3的使用方法 (1) 获取系统基本信息 >>>sudo python3 vol.py -f
12K30发布于 2021-09-23 - 来自专栏小白安全
小白博客 kali Linux - 取证工具
在本章中,我们将学习Kali Linux中的取证工具。 p0f p0f是一个工具,只要检查捕获的数据包,即使有问题的设备位于数据包防火墙之后,也可以识别目标主机的操作系统。 从结果中,您可以观察到Web服务器使用的是Apache 2.x,操作系统是Debian。 PDF解析器 pdf-parser是一个解析PDF文档的工具,用于识别分析的PDF文件中使用的基本元素。 它不会呈现PDF文档。 对于PDF解析器而言,不推荐用于教科书,但是它可以完成这项工作。 x和作为目的提取Firefox,Iceweasel所有法医的有趣的信息,和SeaMonkey浏览器进行分析。
2.9K90发布于 2018-04-12 - 来自专栏FreeBuf
针对爱尔兰DDoS攻击的取证分析
本文首先会针对此次 DDoS 攻击进行取证分析,随后会给出缓解这类 DDoS 攻击的方法。文中所有的截图来源于 LANGuardian 系统面板,该系统通过 SPAN 端口监控网络边界流量。 进一步分析 UPD 流量发现,网络中存在大量的 NTP 和 DNS 流量。但由于这两个协议都非常重要,所以无法直接将其屏蔽。 更进一步分析,我们可以计算出接收到的 NTP 应答包平均大小为 440 字节,这明显大于标准的 NTP 应答包(90字节)。 440 字节的数据包可能是对 monlist 请求进行相应的应答包,NTP 服务器响应 monlist 请求会返回与 NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 高性能的防御系统可以跟踪分析攻击流量并进行清洗,从而抵御较大规模的 DDoS 攻击; 3、如果你的网站是托管在其他地方,那你可以考虑使用像 Cloudflare DDos 防御设施; 4、在一些极端情况下
1.4K70发布于 2018-02-07 Linux取证魔法之旅:深入文件系统与数据恢复技术
网络研讨会:与Hal Pomeranz同游Linux取证魔法之旅Black Hills信息安全公司特邀嘉宾Hal Pomeranz再次带来Linux技术深度分享。 本次将带领观众开启一场探索Linux文件系统奥秘的魔法之旅!内容涵盖:相对访问时间(atime)更新机制、块组与分配策略、已删除目录条目解析等关键技术要点。 这些知识将帮助您更高效地分析Linux系统时间线并恢复被删除数据。这是一场偏离常规路径的冒险之旅,参与者必将获得技术认知的飞跃! 技术要点时间戳:0:00 - 开场导引1:10 - Hal Pomeranz介绍5:49 - EXT文件系统技术解析8:13 - 访问时间(atime)机制详解19:25 - 目录结构技术剖析28:29
17910编辑于 2025-08-29- 来自专栏安全预演
APT取证分析怎么做?
与其他普通网络攻击不同,APT攻击的取证分析更为复杂,一般可以按照以下几个步骤来进行:1、收集取证数据:收集与攻击有关的日志文件、网络流量数据、文件系统快照、内存镜像等数据。 对于应用程序日志和操作系统日志,可以检查被攻击的主机的系统日志,以便确认潜在的攻击者行为。同时,还可以通过文件系统分析来确定被入侵系统上存在的恶意程序。 此外,APT攻击的取证分析需要具备以下技能:1、熟悉网络安全知识:需要具备深入的网络安全知识,了解APT攻击的行为和特征,能够通过分析网络流量、应用程序日志和文件系统等数据来识别APT攻击。 2、熟悉操作系统和网络设备:需要熟悉被攻击系统的操作系统和网络设备,了解其日志格式和数据结构,能够根据日志数据来分析攻击行为。 3、熟悉取证工具:需要熟悉各种数字取证工具,例如网络取证工具、内存取证工具、文件系统取证工具等,能够使用这些工具来收集和分析数据。
98420编辑于 2023-02-19 - 来自专栏漏斗社区
攻击取证之日志分析(一)
概念 首先,咱们还是老规矩,先介绍一下什么是日志分析。 日志分析----计算机、网络和其他IT系统生成审计跟踪记录或记录系统活动的日志。 在当下的CTF大赛中,多以流量分析的形式出现,但是在个别比赛中依然会出现一题关于日志分析类的题目,一般的题目都是会让我们通过日志找线索,不会将flag写在日志,因此我们需要通过分析日志来判断,flag可能存在的位置 日志分析主要分成两种: ●Web日志分析 ●系统日志分析 本期主要给大家带来Web日志分析。 日志格式类型 既然要进行分析日志,首先我们得先了解一下日志的格式到底有哪些? 为了可以更好的演示,这边使用的是NCSA普通日志格式,它的格式如下: 常用日志分析方法 常见的日志分析方法有两种: 1.特征字符分析 2.访问频率分析 特征字符分析: 特征字符分析法:顾名思义,就是根据攻击者利用的漏洞特征 最后,预告一下在本章之后还有一个章节,在下个章节中,会有系统的日志分析以及如何使用日志分析工具进行日志分析,敬请期待哟。 ?
4.1K20发布于 2019-05-13 - 来自专栏网络安全与可视化
如何成功执行网络取证分析?
我们都遇到过各种网络问题,有时会需要网络取证分析。但是您或许不知道从哪里开始,该怎么办?或者,更准确地说,您不知道需要什么硬件来捕获网络线上的信息,以及在分析数据时需要寻找什么? 作为安全分析师,您需要查找正确的症状来快速检测网络中的异常。当然,这需要多年的实践和正确的网络取证工具。 为了对情况进行正确的评估,查看您可以获得的所有信息是非常重要的。 选择正确的工具后,下一步就是监视和分析。以下是一些(重要的)恶意活动(事件计时、网络检查等),在执行网络取证分析时应注意这些活动。 要快速确定是否发生DoS攻击,要先在使用的软件分析工具中进行筛选,查看TCP数据包。使用该工具查看数据包序列图,图上用箭头表示源系统和目标系统之间的TCP连接流。 无论如何,正如我们在本文开头提到的那样,您的网络安全团队需要正确的网络取证工具,可以完全访问网络,以便正确评估情况并采取相应措施。 有兴趣了解为什么如今网络安全如此挑战吗? 可以阅读这篇文章。
1.5K11发布于 2020-05-12 - 来自专栏漏斗社区
CTF| 攻击取证之内存分析
基本概念 在CTF中,内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取flag或者与flag相关重要信息。 解题思路 斗哥根据近来做题心得以及前人经验,明白了内存取证三步曲:解析Windows/Linux/Mac OS的内存结构、分析进程等内存数据、根据题目提示寻找线索和思路,提取分析指定进程的特定内存数据。 笼统的说,常见的内存结构存在于以下三大操作系统: ●Windows操作系统 ●Linux操作系统 ●Mac OS操作系统 难道真的要去深度学习这三种结构吗? 知道了内存格式之后呢,就需要开始分析内存数据了,通过对应格式下的内存所在的对应的系统,我们可以使用对应的工具去进行分析。最后根据题目提示,进行针对性的去提取我们所需要的内存数据。 了解完内存取证的解题思路后,就要开始了解一下解题所需要用到的工具,这里斗哥给大家推荐一个比较好用的开源内存取证框架----Volatility。
8K41发布于 2019-04-29 - 来自专栏Java学习网
Linux操作系统,6个Linux系统版本简介
本期介绍6个Linux系统版本 Linux是一种免费使用和自由传播的类UNIX开源操作系统,其内核由林纳斯·本纳第克特·托瓦兹于1991年10月5日首次发布,它主要受到Minix和Unix思想的启发,是一个基于 而Linux发行套件系统才是我们常说的Linux操作系统,也即是由Linux内核与各种常用软件的集合产品,全球大约有数百款的Linux系统版本,每个系统版本都有自己的特性和目标人群,本文我们主要介绍其中应用比较广泛的 7个Linux系统版本。 Ubuntu 是一个由社区开发的基于 linux 的操作系统,适用于笔记本电脑、桌面电脑和服务器。 6.Gentoo 具有极高的自定制性,操作复杂,因此适合有经验的人员使用。它能为几乎任何应用程序或需求自动地作出优化和定制。
31.3K30发布于 2021-08-27 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
接下来,我们看看如何使用MemProcFS来提升我们内存取证分析的效率。 MemProcFS可以允许我们在文件系统视图中一次性查看多个Volatility插件的输出结果。 需要注意的是,内存映像加载完成后,取证分析操作可能需要等待一段时间才能执行完毕。 、用户和操作系统信息等: 其中,最重要的就是Forensic目录了,其中包含了大量的内存取证信息: 这里我们可以看到系统针对各种组件创建的时间戳,比如说NTFS、网络、Web和进程等: findevil 总结 每一种安全分析和调查都有其独特的的目标,而深入分析取证文件所采用的方法也因实际情况而定。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。
60710编辑于 2024-06-11 数字取证与分析-----logs.pcapng
数据分析-logs 1.使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户目录扫描的第9个文件,并将该文件名作为 Flag(形式:[robots.txt])提交: 通过分析:恶意用户为172.16.1.10 目录扫描文件,从站点去扫描具体的文件,指向http ip.src == 172.16.1.10 and http Flag:[star.php] 2.继续查看数据包文件logs.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交 http,一为tcp ip.src == 172.16.1.10 and tcp Flag:[21,80,445,1433,3306,3389,5000] 3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么 ,并将一句话密码作为Flag(形式:[一句话密码])提交: Flag:[007] 6.继续查看数据包文件logs.pacapng分析出恶意用户下载了什么文件,并将文件名及后缀作为Flag(形式:[文件名
22510编辑于 2025-10-23- 来自专栏学习之路
【Linux系统#6】文件系统 & 软硬链接
但是CHS模式支持的硬盘容量有限,因为系统用8bit来存储磁头地址,用10bit来存储柱面地址,用6bit来存储扇区地址,而一个扇区共有512Byte,这样使用CHS寻址一块硬盘最大容量为256*1024 Linux文件系统特点:文件内容和文件属性 分开存储 Block Group:文件系统会根据分区的大小划分为数个Block Group。 ❓ 文件路径是文件在文件系统中的唯一位置标识,确保操作系统能够准确找到和访问该文件 6. 而你新建的任何文件,都在你或者系统指定的目录下新建,这不就是天然就有路径了嘛! 系统+用户共同构建Linux路径结构 9.2 路径缓存 问题1:Linux磁盘中,存在真正的目录吗? 软硬链接的意义 软硬链接提供文件的多路径访问 硬链接共享inode,提高数据冗余和可靠性 软链接则创建指向文件的快捷方式,支持跨文件系统和指向目录,增加灵活性 6.
52910编辑于 2025-06-02 数据分析数字取证A.pcapng
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。 Ethereal是全世界最广泛的网络封包分析软件之一。 数据分析数字取证 任务环境说明: 渗透机场景:windows 7 渗透机用户名:administrator,密码:123456 通过分析数据包A.pcapng,找到黑客连接一句话木马的密码,将该密码作为 :192.168.10.10,192.168.10.30 通过分析数据包A.pcapng,找到域服务器的密码是多少,将该密码作为FLAG提交; Flag:163.com 通过分析数据包A.pcapng,
17610编辑于 2025-10-23- 来自专栏AI SPPECH
083_数字取证高级技术:日志分析与时间线构建实战指南——从系统日志到网络流量的全面取证分析方法
随着网络攻击手段的不断升级和复杂化,日志分析技术已成为数字取证人员不可或缺的核心技能。 无论是安全分析师、系统管理员还是数字取证专家,都能从中获取实用的知识和技能。 系统日志 操作系统日志:Windows事件日志、Linux/Unix syslog、macOS日志 内核日志:记录系统底层操作和硬件交互 启动日志:记录系统启动过程中的事件 2. 可扩展性 适应不断增长的日志量 支持新系统和应用程序的集成 能够处理各种日志格式和来源 日志收集范围: 操作系统日志(Windows事件日志、Linux syslog等) 网络设备日志(防火墙、路由器、 Volatility Framework 内存取证工具,可用于分析内存转储中的日志信息 支持多种操作系统内存分析 可提取进程、网络连接和注册表等信息 2.
45910编辑于 2025-11-16 - 来自专栏后端技术
系统设计分析 作业6
数据库建模(E-R 模型) 按 Task 3 要求,给出系统的 E-R 模型(数据逻辑模型) 建模工具 PowerDesigner(简称PD) 或开源工具 OpenSystemArchitect 不负责的链接
48430发布于 2019-05-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号